Digital
Schweiz

Nach Cyberangriff auf die SBB drohen neue Attacken auf Verkehrsbetriebe

Cargo workers demonstrate the cold chain process for the handling of medicines and vaccines as they place cooling units into a temperature controlled shipping box from a refrigerated warehouse at Swis ...
Die Flughafendienstleisterin Swissport wurde im Februar 2022 von Hackern lahmgelegt. Nun warnen europäische Cybersicherheits-Fachleute vor neuen Attacken.Bild: keystone

Darum drohen nach dem Cyberangriff auf die SBB noch weit gefährlichere Attacken

Ransomware-Banden sind zur grössten Gefahr für Verkehrsbetriebe geworden, wie ein europäischer Cybersecurity-Bericht zeigt. Und die Fachleute warnen vor verheerenden Attacken gegen sogenannte OT-Systeme.
23.03.2023, 05:2823.03.2023, 13:12
Mehr «Digital»

Ein aktueller Bericht der Agentur für Cybersicherheit der Europäischen Union (ENISA) lässt aufhorchen und dürfte auch die Verantwortlichen bei den SBB beschäftigen.

Gemäss der am Dienstag veröffentlichten 50-seitigen Analyse sind Ransomware-Angriffe die grösste Cyberbedrohung für den Verkehrssektor in Europa. Dabei geht es aber nicht nur um die bislang bekannten Erpressungsversuche.

Während die meisten Ransomware-Angriffe bisher auf IT-Systeme wie Datenbanken abzielten, warnt die europäische Cybersicherheit-Behörde, dass die kriminellen Hackerbanden in absehbarer Zukunft wahrscheinlich auch auf OT-Systeme abzielen und diese stören werden, was für die ganze Gesellschaft schwerwiegende Folgen haben könnte.

Warum droht Verkehrsbetrieben neue Gefahr?

OT steht für Operational Technology. Gemeint sind Systeme, die typischerweise mechanische Prozesse überwachen oder steuern. Das macht sie besonders wichtig für die Sicherheit von Flughäfen, Häfen, Schienenverkehr und anderen Aspekten des Transportsektors, wie The Record festhält.

Die EU-Agentur ENISA sagt, dass sie keine «verlässlichen Informationen» über einen konkreten Cyberangriff erhalten habe, der die Verkehrssicherheit beeinträchtigen könnte. Doch nennt sie in ihrer Analyse mehrere Gründe, warum die Gefahr verheerender Cyberangriffe steigt:

  • Die fortschreitende digitale Transformation und das Zusammenwachsen von ursprünglich getrennten IT- und OT-Netzwerken macht die Systeme angreifbar.
  • In der vor allem in Osteuropa angesiedelten Szene der Ransomware-Banden gibt es fortlaufend neue Zusammenschlüsse. Dies führe dazu, dass mächtige Angriffswerkzeuge (Malware) in immer mehr Hände geraten.
  • Kriminelle Hacker entwickeln vermehrt Fähigkeiten, OT-Netzwerke anzugreifen und zu stören. Dazu passt eine steigende Zahl neu identifizierter Sicherheitslücken bzw. Schwachstellen in OT-Umgebungen.
  • Russlands militärische Aggression gegen die Ukraine führt dazu, dass Ransomware-Gruppen Partei ergreifen und wahrscheinlich Vergeltungsangriffe gegen kritische westliche Infrastrukturen durchführen.
  • Für die Betreiber von Verkehrsinfrastruktur könnte eine erhöhte Dringlichkeit bestehen, Lösegeld zu zahlen, um kritische geschäftliche und soziale Folgen zu vermeiden.
1 / 17
So läuft eine Ransomware-Attacke ab
2021 machte watson publik, dass die am Genfersee gelegene Waadtländer Gemeinde Rolle von einem massiven Daten-Leak betroffen war – die Folge einer Ransomware-Attacke. In dieser Bildstrecke erfährst du, wie ein solcher Hackerangriff abläuft. Die wenigsten Leute wissen, was kriminelle Eindringlinge in fremden IT-Systemen so alles treiben.
Auf Facebook teilenAuf X teilen

Es sind nicht nur Europas Behörden, die warnen: Anfang März hat die US-Transportsicherheitsbehörde NTSB neue Notfall-Sicherheitsprotokolle für Flughafenbetreiber und Fluggesellschaften herausgegeben – wegen «anhaltender Cybersicherheits-Bedrohungen gegen kritische Infrastrukturen».

Wer steckt hinter den Angriffen?

Das grösste Bedrohungspotenzial geht von Ransomware-Banden wie Lockbit und ALPHV aus, die ihre digitale Angriffs-Infrastruktur gegen Bezahlung Dritten zur Verfügung stellen und schon wiederholt in der Schweiz zugeschlagen haben.

Zwei Hackerangriffe, die hiesige Unternehmen aus der Luftfahrtbranche betrafen, werden im aktuellen Bericht der EU-Cybersicherheits-Agentur in der Liste der gravierenden Vorfälle der vergangenen zwei Jahre aufgeführt:

Bild
screenshot: enisa.europa.eu

Im Bericht erwähnt wird auch ein Angriff auf die Allgemeine Schifffahrtsgesellschaft auf dem Genfersee (CGN) im August 2021. Hacker manipulierten das Ticket-Verkaufssystem auf der Website des Verkehrsbetriebes und so gelang es ihnen, die Kreditkartendaten einiger Kunden zu stehlen.

Staatliche Hacker

Neben kriminellen Angreifern stellen auch Hacker, die im Staatsauftrag vor allem Werkspionage betreiben, eine zunehmende Bedrohung dar. Die Ursprünge solcher Attacken lassen häufig auf Russland oder China schliessen, wobei die sichere Zuordnung («Attribution») fast unmöglich ist.

Solche staatlichen Hacker waren laut ENISA-Bericht in den letzten zwei Jahren besonders am maritimen Sektor interessiert und nahmen dort Unternehmen ins Visier.

Die Mehrzahl der Hackerangriffe auf den europäischen Verkehrssektor wurden aber von Kriminellen mit finanziellen Motiven verübt. Ob der Cyberangriff auf die Schweizerischen Bundesbahnen (SBB) im März 2023 in diese Kategorie gehört, ist nach wie vor nicht offiziell bestätigt.

Auf Anfrage bekräftigt Mediensprecherin Fabienne Wittwer, dass die SBB zu diesem Thema keine weiteren Angaben machten. Zusammen mit Partnern und den Bundesbehörden sei man daran, den Cyberangriff zu analysieren. Und:

«Die SBB baut ihr Sicherheitsdispositiv laufend aus und reagiert damit entsprechend auf die sich allgemein ständig ändernde Bedrohungslage.»

Damit sind wir bei einem springenden Punkt angelangt.

Wo harzt es auf Seite der Unternehmen?

Die europäischen Cybersicherheits-Fachleute kommen in ihrer Analyse zu einem Fazit, das sich mit den Erfahrungen des watson-Redaktors zur Situation hierzulande deckt:

«Im Allgemeinen werden Cyberangriffe nur selten gemeldet, insbesondere solche mit unbedeutenden Auswirkungen oder Beinaheunfälle. Die meisten Organisationen ziehen es vor, das Problem intern zu lösen und schlechte Publicity zu vermeiden.»

Da es an zuverlässigen Daten von den betroffenen Organisationen mangele, sei es sehr schwierig, das Problem vollständig zu verstehen oder überhaupt zu wissen, wie viele Cyberangriffe auf den Verkehrssektor tatsächlich stattfinden.

Selbst wenn man die Informationen analysiert, die von den Kriminellen auf Leak-Sites im Darknet veröffentlicht werden, ist es sehr schwierig respektive unmöglich, die tatsächliche Zahl der entsprechenden Angriffe zu ermitteln.

«Die wichtigste Information, die fehlt, ist die technische Erklärung, wie die Angreifer Zugang zu den Zielen erhalten haben. Dabei handelt es sich in der Regel um private Daten, die die Sicherheitslage des Ziels beschreiben und daher nie an die Öffentlichkeit weitergegeben werden. Dies hat zur Folge, dass wir als Gemeinschaft nur bruchstückhaft und isoliert von den zu lösenden Problemen lernen.»
quelle: enisa.europa.eu

Bleibt anzumerken, dass die Betreiber von kritischen Infrastrukturen in der Schweiz in Zukunft Cyberangriffe mit erheblichem Schadenspotenzial dem Bund melden müssen, wenn nach dem Nationalrat auch noch der Ständerat einer entsprechenden Vorlage zustimmt. Das Zentrum für Cybersicherheit (NCSC) ist als Meldestelle vorgesehen.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Die gefährlichsten Cyberwaffen und ihre Folgen
1 / 15
Die gefährlichsten Cyberwaffen und ihre Folgen
Mit der Entdeckung von Stuxnet geriet erstmals eine von staatlichen Hackern entwickelte Cyberwaffe ungewollt in private Hände. Die Schadsoftware war sehr wahrscheinlich von den USA und Israel um 2006 entwickelt worden – auch wenn die beteiligten Verantwortungsträger bis heute schweigen.
Auf Facebook teilenAuf X teilen
Zugeparkt? Ben Affleck hat eine Lösung
Video: watson
Das könnte dich auch noch interessieren:
45 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Daniel Noger
23.03.2023 06:01registriert November 2022
Die Schweiz sollte die Hälfte des Armeebudget in eine Cybereinheit stecken. Dies hätte auch in Friedenszeiten einen Nutzen.
11114
Melden
Zum Kommentar
avatar
Sam1984
23.03.2023 05:57registriert Dezember 2014
Hauptgrund für Ransomware-Angriffe ist, dass nicht zeitnahe gepatcht wird. Seit 15 Monaten gibt es z.B. gepatchte log4j Versionen und trotzdem sind immer noch 34% aller täglichen log4j Downloads ungepatchte Versionen.
🤷‍♂️
674
Melden
Zum Kommentar
avatar
Lingsrächts
23.03.2023 07:09registriert Dezember 2021
Man muss das jeweilige Intranet, welches so lebensnotwendig ist, gänzlich vom Internet abkoppeln. Auch wenn dadurch Doppelspurigkeiten in Kauf genommen werden müssen.
Ich weiss, es ist mega teuer und entspricht nicht den angestrebten Sparmassnahmen des Optimierungswahnsinns.
Aber ein Angriff auf die Leitzentralen der Elektrizitätswerke (Atomkraftwerke, Stauseen, Leitungen usw.), Wasserwerke (Kläranlagen, Regulieren des Wasserstandes), Polizei, Sanität, Militär und wie erwähnt, Verkehrsbetriebe kann noch viel teurer werden.
Der Kollaps kommt, fragt sich nur wann und wie schlimm!
456
Melden
Zum Kommentar
45
Wegen Rückreiseverkehr vom Bürgenstock: Verspätungen am Flughafen Zürich

Am Sonntagabend kommt es am Flughafen Zürich teilweise zu Verspätungen bei Linienflügen. Grund dafür ist der erhöhte Flugverkehr im Zusammenhang mit der Bürgenstock-Konferenz. Eine Sprecherin des Flughafens Zürichs bestätigt dies auf Anfrage von watson.

Zur Story